![]()
一、研究背景
分布式学习是一种新兴的机器学习范式,它允许多个客户端协同训练机器学习模型,而无需显式共享数据。这种范式通过在客户端之间共享数据的信息(如梯度)而非数据本身,从而确保数据隐私的同时缓解数据孤岛问题。然而,已有研究表明,梯度逆向攻击(Gradient Inversion Attacks, GIAs)可以通过共享的梯度来重构客户端的隐私数据,从而导致隐私泄露。虽然学者们在攻击和防御方法上进行了大量的研究,但是GIAs背后潜藏的理论原因仍未被深入探索。为了弥补这一缺陷,本文研究了GIAs能够成功实施的原因,并提出了一种即插即用地缓解攻击的方法。![]()
图1 威胁模型示意图:诚实但是好奇的攻击者在得到受害者的梯度信息后,通过精心设计的方法对受害者的原始训练数据进行重构。
二、理论分析结果
结论一:受害者在训练时使用的数据量与模型分类的总类别数n的比值越大,攻击者的攻击越容易成功,隐私泄露的风险越大。![]()
图2 当采用相同的训练数据时,不同的n对实验结果的影响,其中最左边的为原始训练数据,中间的是当n为100的攻击结果,最右边的是当n为10的攻击结果。
结论二:随着训练的进行,隐私泄露的风险会逐渐降低。
![]()
图3 简化的重构攻击优化景观图,其中蓝色线代表优化路径,红色星形为目标点。可以看到,随着Conf(即训练的模型的预测置信度)的增加,攻击者的攻击(蓝色线)越来越难以收敛到目标点,而是收敛到一个非目标的局部最优点。
结论三:增加模型的非线性程度,能够有效地提升隐私安全性。
表1 当使用BN层以及采取不同的激活函数的攻击结果
![]()
三、防御方法
同时,我们提出了一种即插即用的缓解攻击的方法,该方法基于间接风险最小化原理,设计了一种能够防御隐私重构攻击的数据增强方法,同时几乎不影响模型的可用性。![]()
图4 所提出的方法可以有效地抵御隐私重构攻击
表2 所提出的方法(前缀为Sec的部分)几乎不影响训练后得到的模型性能
论文信息
本文发表于TPAMI 2024,作者来自于哈尔滨工业大学(深圳)、鹏城实验室和南方科技大学。作者列表:叶子鹏、罗文坚、周琪、朱震乾、史玉回、贾焰。其中,第一作者叶子鹏是哈尔滨工业大学(深圳)的博士生;通讯作者罗文坚是哈尔滨工业大学(深圳)教授。Zipeng Ye, Wenjian Luo, Qi Zhou, Zhenqian Zhu, Yuhui Shi, Yan Jia. Gradient Inversion Attacks: Impact Factors Analyses and Privacy Enhancement. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2024.
